O cenário de ameaças provou ser um espaço muito dinâmico e em evolução, especialmente na proteção contra ransomware. De acordo com o relatório de cenário de ameaças do FortiGuard Labs do 1º semestre de 2022 , houve um crescimento de quase 100% nas variantes de ransomware em meio ano.
Os CISOs devem manter-se informados sobre as pesquisas de ameaças mais recentes para garantir que estão implementando as melhores soluções de prevenção e proteção contra ransomware. Derek Manky, do FortiGuard Labs, destaca as principais conclusões do Relatório de Cenário de Ameaças e o que os CISOs e as equipes de segurança devem prestar atenção nos próximos meses.
Derek: Existem muitos pontos de dados interessantes, mas alguns que são importantes para mim quando falo com CISOs são:
Endpoint: A análise de vulnerabilidades de endpoint por volume e detecções revela um caminho implacável de cibercriminosos tentando obter acesso maximizando vulnerabilidades antigas e novas. Embora nunca possamos realmente prever o que os criminosos vão atacar em seguida, isso nos dá um bom indicador de onde os criminosos estão começando a farejar e estão ficando mais quentes. Isso é extremamente útil para os CISOs do mundo real revisarem.
Ransomware: Todo mundo me pergunta sobre o futuro do ransomware. Nosso relatório mostra que a ameaça de ransomware continua a se adaptar com mais variantes habilitadas pelo Ransomware-as-a-Service ( RaaS ). Isso é significativo porque nos últimos seis meses, o FortiGuard Labs viu um total de 10.666 variantes de ransomware, em comparação com apenas 5.400 no período de seis meses anterior.
O RaaS, com sua popularidade na dark web, continua a alimentar uma indústria de criminosos que forçam as organizações a considerar acordos de ransomware e também proteger contra técnicas em evolução.
A evasão de defesa é Top of Mind: entre as oito principais táticas e técnicas focadas no endpoint, a evasão de defesa foi, de longe, a tática mais empregada pelos desenvolvedores de malware. Eles estão tentando escapar das defesas mascarando-as e tentando ocultar comandos para realizar intenções maliciosas e, de fato, adicionando mais e mais técnicas (maneiras) de executar essa tática, conforme observamos no relatório. Isso é significativo porque tem uma correlação direta com a forma como os CISOs precisam pensar sobre suas estratégias de segurança cibernética.
Derek: A guerra na Ucrânia alimentou um aumento substancial no malware de limpeza de disco entre os agentes de ameaças visando principalmente a infraestrutura crítica. Identificamos pelo menos sete novas variantes principais de limpadores nos primeiros seis meses de 2022 que foram usadas em várias campanhas contra organizações governamentais, militares e privadas.
Esse número é significativo porque é próximo ao número de variantes de limpadores que foram detectadas publicamente desde 2012. Além disso, os limpadores não permaneceram em uma localização geográfica, mas foram detectados em 24 países além da Ucrânia e não apenas na Europa.
As tendências de malware de limpeza revelam uma evolução perturbadora de técnicas de ataque mais destrutivas e sofisticadas, continuando com software malicioso que destrói dados limpando-os. Este é um indicador de que essas cargas úteis armadas não estão limitadas a um alvo ou região, e serão usadas em outras instâncias, campanhas e alvos.
Derek: Existem três razões principais para o crescimento das variantes de ransomware:
O RaaS, com sua popularidade na dark web, continua a alimentar uma indústria de criminosos.
Os adversários cibernéticos continuam a investir recursos significativos em novas técnicas de ataque porque o ransomware é lucrativo e ainda viável.
A principal tática que vemos os cibercriminosos empregar é a evasão de defesa – com a evasão de defesa, surgem mais variantes.
Derek: Quando os CISOs obtêm uma compreensão mais profunda das metas e táticas usadas pelos adversários por meio de inteligência de ameaças acionáveis e relatórios como esses, eles podem alinhar melhor as defesas para se adaptar e reagir de forma proativa às técnicas de ataque que mudam rapidamente. Além disso, os insights sobre ameaças são essenciais para ajudar a priorizar estratégias de patches para ambientes mais seguros.
Esses insights também podem informar a conscientização e o treinamento de segurança cibernética, que também são importantes à medida que o cenário de ameaças muda para manter os funcionários e as equipes de segurança atualizados.
Do ponto de vista da tecnologia de segurança cibernética, há algumas coisas que vêm à mente, mas a IA e o ML maduros em geral são essenciais para combater a taxa de exploração hoje.
Visibilidade, proteção e remediação em tempo real, juntamente com acesso à rede de confiança zero (ZTNA) e detecção e resposta avançada de endpoint (EDR) são essenciais. A tecnologia avançada de endpoint pode ajudar a mitigar e remediar efetivamente os dispositivos infectados no estágio inicial de um ataque.
A segmentação também é fundamental, pois pode ajudar a limitar a propagação de um ataque e também limitar o movimento lateral, algo que vimos em nosso relatório como um objetivo principal à medida que o WFA continua.
Serviços como um serviço de proteção contra riscos digitais (DRPS) podem ser usados para fazer avaliações externas de ameaças de superfície, encontrar e corrigir problemas de segurança e ajudar a obter insights contextuais sobre ameaças atuais e iminentes.
A detecção e resposta de rede (NDR) com inteligência artificial (IA) de autoaprendizagem é útil para detectar melhor as intrusões.
Plataformas integradas de segurança cibernética orientadas por IA e ML com recursos avançados de detecção e resposta alimentados por inteligência de ameaças acionável são importantes para proteger em todas as bordas das redes híbridas.
A conscientização e o treinamento de segurança cibernética também são importantes à medida que o cenário de ameaças muda para manter os funcionários e as equipes de segurança atualizados.
“Quando os CISOs obtêm uma compreensão mais profunda das metas e táticas usadas pelos adversários por meio de inteligência de ameaças acionáveis e relatórios como esses, eles podem alinhar melhor as defesas para se adaptar e reagir de forma proativa às técnicas de ataque que mudam rapidamente.”
Derek: Em alto nível, os adversários cibernéticos estão avançando em suas cartilhas para evitar defesas e dimensionar suas redes de afiliados criminosos para maximizar oportunidades como RaaS e muito mais. Mas eles também estão usando estratégias de execução agressivas, como extorsão ou limpeza de dados, além de se concentrar em táticas de reconhecimento pré-ataque para garantir melhor retorno sobre o investimento em ameaças. Velocidade, sofisticação e escala são realidades que os CISOs precisam abordar.
Saiba mais sobre os treinamentos oficiais da Fortinet para proteção contra ransomware.
Fonte: Fortinet Por Derek Manky | agosto de 2022